Traficom pyytää kommentteja uuden evästeohjeistuksen luonnoksesta

Perttu Tolvanen

Kenellä tahansa on nyt mahdollisuus kommentoida valmisteilla olevaa evästeohjeistusta 9.8.2021 saakka.

Uusi ehdotus vaikuttaa olevan varsin samoilla linjoilla tässä blogissa aiemminkin käydyn keskustelun ja viitattujen lähteiden kanssa. Mikäli ehdotetut linjaukset päätyvät loppukesällä julkaistavaan lopulliseen ohjeeseen, tulee evästekyselyiden toteutukseen huomattavasti lisää selkeyttä. Uusi ehdotus vaatinee myös muutoksia suurinpiirtein 99%:een kotimaisista verkkopalveluista, joten kiinnostavaa tulee olemaan myös se, että tullaanko uutta ohjeistusta valvomaan.

>> Tutustu ehdotukseen ja kommentoi (9.8.2021 saakka)

Traficom itse nostaa tiedotteessaan keskeisiksi ehdotuksen kohdiksi seuraavat asiat:

”- Muiden kuin välttämättömien evästeiden tallentamiseen ja tietojen käyttämiseen käyttäjän päätelaitteelta tulee pyytää suostumus. Tällä hetkellä evästebanneri on yleisin tapa suostumuksen pyytämiseen.

– Poiketen aiemmasta tulkinnasta käyttäjä ei voi verkkoselaimen asetusten kautta antaa pätevää suostumusta evästeiden ja muiden seurantateknologioiden käyttöön.

– Käyttäjän suostumusta pyydettäessä häntä ei saa ohjata hyväksymään ei-välttämättömien evästeiden käyttöä ja näiden evästeiden käytöstä kieltäytymisen tulee olla yhtä helppoa kuin niiden hyväksymisen.

– Jo annetun suostumuksen peruuttamisen tai tehtyjen valintojen muuttamisen tulee olla mahdollista ja sen tulee olla käyttäjälle mahdollisimman yksinkertaista.

– Evästeiden ja muiden seurantatekniikoiden käyttöä ei voi perustella tietosuoja-asetuksen mukaisella rekisterinpitäjän oikeutetulla edulla.”

Tässä blogissa aiemmin korostettujen asioiden näkökulmasta erityisesti listan kolme ensimmäistä kohtaa ovat erittäin tärkeitä asioita.

On esimerkiksi erittäin hyvä asia linjata selvästi se, että välttämättömiin evästeisiin ei tarvita lupaa. Ohjeistus tekeekin varsin selväksi sen, että minkälaiset evästeet voidaan tulkita välttämättömiksi ja mitä taas ei voida. Täten uusi ohjeistus on ainakin suurimmalti osin erinomaisen konkreettinen ja helppolukuinen.

Luonnoksen nykyinen versio on tosin erittäin tiukka monilta osin, ja esimerkiksi web-analytiikan kohdalla on riskinä että tiukkuus voi kääntyä alkuperäistä tavoitetta vastaan. Vaikuttaa siltä, että Traficomin uusi ohjeistus tulee olemaan täysin toiseen laitaan vedetty ohjeistus verrattuna saman viraston edelliseen versioon – tai ainakin tämä luonnos on kirjoitettu erittäin tiukasti tiukimpia tulkintoja noudattaen.

Seuraavaksi on nostettu esiin kaksi kohtaa luonnoksesta, jotka ainakin allekirjoittaneen kokemuksen perusteella ovat sellaisia, joihin vielä toivoisi parannuksia tai pieniä muutoksia ennen virallisen ohjeen julkaisemista.

Ongelma 1: Kaikenlainen analytiikka ja seuranta vaatii jatkossa luvan kysymisen evästebannerilla

Analytiikkaan ohje ottaa hyvin tiukan kannan, jonka mukaan jo sivulataustenkin tilastointi evästeitä asettamalla vaatisi luvan käyttäjältä.

”Kehittämis- ja analytiikkaevästeet

Tällaisilla evästeillä kerätään esimerkiksi tietoa, miten sivustolla vierailevat käyttäjät käyttävät palvelua esimerkiksi tallentamalla yksilöityjä liikennelähteitä (IP-osoitteita), laskemalla sivulatauksia ja mittaamalla erilaisin tavoin sitä, miten sivustojen sisältöjä käytetään. Evästeet voivat liittyä myös tutkimukseen tai tuotekehitykseen. Tällaisia evästeitä ei kovin helposti voida katsoa käyttäjän näkökulmasta välttämättömiksi sellaisen palvelun tarjoamiseksi, jota käyttäjä nimenomaan on pyytänyt, vaikka palvelun tarjoajan näkökulmasta näiden evästeiden käyttäminen olisi hyödyllistä.”

Tämä on ainakin käytännön kannalta valitettavan tiukka linjaus, ja ehkä erityisesti julkishallinnon näkökulmasta. Erittäin harva julkishallinnon sivusto kun tarvitsee lupalappua evästeisiin palvelun toiminnan näkökulmasta, mutta moni haluaisi kuitenkin säilyttää asiallisen analytiikan.

Julkishallinnossakin on tärkeätä saada hyvää tilastotietoa palveluiden käytöstä. On vaikea kehittää palveluita tai raportoida niiden toiminnasta, jos ainut sallittu käyttäjäseuranta on joku raaka palvelinlogeihin perustuva raportti. Tähän suuntaan kuitenkin mennään tuolla linjauksella.

Voi toki olla, että tämä linjanveto on harkittu, jolloin se käytännössä pakottaa julkishallinnon sivustot pitkälti käyttämään jotain palvelimen tilastointiin perustuvaa analytiikkaratkaisua. Muutama valtionhallinnon yksikkö on toki jo tähän malliin siirtynyt. Ei ole kuitenkaan ollenkaan sanottua, että esimerkiksi kuntakentässä olisi resursseja tällaisten erikoisempien analytiikkaratkaisujen pystyttämiseen.

Käytännössä kun kaikilla sivustoilla on nykyisin varsin hyvät analytiikat, eikä näistä todennäköisesti olla valmiita luopumaan, niin todella moni taho päätynee laittamaan evästebannerin ihan vain analytiikan takia.

Ohjeistuksen tiukka linja analytiikkaan aiheuttaisi siis yksinään sen, että lähes 100% julkishallinnon saiteista tulisi jatkossa pyytämään lupaa vähintään analytiikkaevästeisiin.

Tällainen lopputulos olisi huono kaikkien kannalta: käyttäjiä ärsyttävät lupalaput tulevat kaikkialle, mutta niiden vastineeksi ei edes saada hyvää kehittämisdataa – koska iso osa käyttäjistä ei kuitenkaan hyväksy edes niitä analytiikkaevästeitä.

Toki voi olla mahdollista, että moni sivuston omistaja tajuaa sen, että jos kaikkeen järkevään analytiikkaankin tarvitaan lupa, niin iso osa kävijöistä tulee puuttumaan raporteista kokonaan. Ja tämän logiikan seurauksena voi olla, että useampi sivuston omistaja ryhtyy panostamaan palvelintason tilastointiin enemmän, ja jopa unohtaa evästepohjaisen analytiikan kokonaan. Tämä ei vain juuri nyt tunnu kovin todennäköiseltä lopputulokselta.

On toki ymmärrettävää, että rajanveto on tässäkin alueessa vaikeata, mutta evästepohjainen analytiikka olisi kuitenkin erittäin tärkeätä sallia ilman erillisen luvan pyytämistä. Käytännössä järkevämpää olisi esimerkiksi sallia evästepohjainen analytiikka ilman yksilöivien ip-osoitteiden tallentamista. Lisäksi voisi rajata, että jos analytiikkaan ei ole pyydetty lupaa, ei sitä saisi automaattisesti käyttää personointiin tai kohdentamiseen.

Useimmat analytiikkaohjelmistot osaavat kuitenkin tämän anonymisointi-tempun. Tällainen linjaus helpottaisi esimerkiksi julkishallintoa jättämään turhat evästelaput pois, mutta edelleen säilyttämään laadukkaan tilastotiedon siitä miten palvelua käytetään. Tällaisessa mallissa lupia joutuisivat kyselemään pääasiassa vain ne julkishallinnon tahot, jotka hyödyntävät kohdennettua mainontaa laajamittaisesti – ja näiden tahojen olisikin hyvä erottua joukosta.

Tällainen malli voisi merkittävästi lisätä myös käyttäjien tietoisuutta siitä mihin lupia tarvitaan. Jos suurin osa julkishallinnon sivustoista ei kyselisi lupia, saattaisi useampi käyttäjä miettiä hetken myös mediatalojen ja verkkokauppojen sivustoilla ennenkuin sokkona hyväksyisi kaiken.

Tuo nykyinen, ehdotettu linjaus analytiikan luvanvaraisuudesta on myös tavallaan ohjeistuksen yleisviestin kanssa ristiriitainen. Ohje kun korostaa paljon sitä, että välttämättömiin ei tarvitse pyytää lupia, mutta kun todellisuudessa analytiikka on koko alan mielestä välttämätöntä, on seurauksena maailma, jossa aivan kaikki sivustot paukauttavat evästelupabannerin saapuvan käyttäjän eteen.

Ongelma 2: Vaatimukset informoinnille sallivat edelleen höpöhöpöpuheen välttämättömistä evästeistä

Informoinnin osalta Traficomin luonnos jää varsin ylätasolle.

”Evästeistä ja muusta tietojen käytöstä tai tallentamisesta, joka edellyttää käyttäjän suostumusta, on informoitava kattavasti ja ymmärrettävästi käyttäjiä siinä yhteydessä, kun käyttäjä tekee valintoja suostumuksen antamiseksi, antamatta jättämiseksi tai peruuttamiseksi. Suositeltavaa on vastaavasti informoida evästeistä ja muihin näistä rinnastuvista tekniikoista sekä niiden avulla saatavien tietojen käytöstä myös silloin, kun ne eivät lain mukaan edellytä suostumusta.”

Tämä on ehkä luonnoksen heikoin osuus, erityisesti lainauksen viimeinen lause.

Käytännössä tämä johtanee siihen, että lupalapuissa jatkossakin puhutaan ihan muista asioista kuin mihin lupia oikeasti tarvitaan. Kuten tässä blogissa on selvitetty, erittäin suuri osa sivustoista ei esimerkiksi mainitse kohdennettua mainontaa lupalapuissaan, vaikka asetettavista evästeistä suurin osa liittyisi pelkästään erilaisiin mainosverkostoihin.

Käyttäjän kannaltahan isoin ongelma ymmärrettävyydessä on koko ajan ollut se, että useimmissa lapuissa puhutaan eniten asioista, joihin ei tarvita lupia. Traficomin ohje suorastaan kannustaa tämän käytännön jatkamiseen.

Mediatalojen laputhan ovat tästä olleet jo vuosia ”parhaita” esimerkkejä. Näissä on usein nähty todella paljon vaivaa siihen, jotta ei puhuttaisi mistään mainonnasta tai tietojen myymisestä eteenpäin, vaan uuvutetaan käyttäjä selittämällä pitkät pätkät pelkästään välttämättömien evästeiden toiminnasta. Verkkokauppojen vastaavat suoritukset ovat liikkuneet yleensä ostoskorin ja muiden perustoimintojen ympärillä, vaikka aiemminkaan ei näihin asioihin ole tarvinnut mitään lupia. Tämä käytäntö siis tulee näillä ohjeistuksilla jatkumaan, koska etenkään mediatalot ja verkkokaupat eivät vapaaehtoisesti halua kertoa käyttäjille mitä kaikkea he tallentavat ja miten niitä tietoja käyttävät.

Käytännön kannalta olisi järkevämpää vaatia evästebannerissa tiiviit kuvaukset kaikista niistä asioista joihin sivusto tarvitsee luvan käyttäjältä. Nyt kun sivustojen omistajille annetaan mahdollisuus puhua myös siitä mihin ei lupia tarvita, suurin osa tulee puhumaan kaikkein eniten juuri näistä, koska sillä tavalla hämätään kiireistä käyttäjää erittäin tehokkaasti. Tästä syystä kannattaisi myös sanoa selvästi, että evästebannerissa ei saa puhua asioista, jotka kuuluvat välttämättömien evästeiden piiriin. On ylipäätään outoa, että välttämättömistäkin evästeistä puhumiseen kannustetaan, kun niiden osalta ei kuitenkaan ole mahdollista tehdä mitään valintaa.

Selkeä informointi on myös erittäin merkittävässä roolissa, jos vakiintunein malli kysyä lupaa on kahden nappulan malli, jossa toisena vaihtoehtona on ”Hyväksy kaikki”. Jos tällainen ”supernappula” sallitaan, olisi ehdottoman tärkeätä, että kaikki sen nappulan taakse kätkeytyvät käyttötarkoitukset listataan välittömästi kyseisen nappulan yhteydessä ja ilman harhaanjohtavia selityksiä välttämättömistä evästeistä.

Todella merkittävä parannus: tasa-arvoiset dialogit

Kehuttavia asioita on luonnoksessa onneksi paljon enemmän kuin kritisoitavia kohtia. Erityisen merkittävä asia on käyttäjän ohjaamisen kieltäminen. Hyväksymistä ei saa tehdä helpommaksi tai houkuttelevammaksi kuin kieltäytymistä. Hyväksyntä ja kieltäytyminen täytyy siis esittää käyttäjälle tasa-arvoisina valintoina. Tätä linjaahan rikkovat tällä hetkellä Suomessa suurinpiirtein kaikki kaupalliset toimijat. Julkishallinnostakin on vaikea löytää asiallisia esimerkkejä.

Käytännössähän tällä tarkoitetaan jotain vastaavaa mallia, mikä on käytössä esimerkiksi Euroopan komissiolla.

(Euroopan komission evästebanneri on valitettavasti erityisen hyvä esimerkki huonosta informoinnista, koska “sivuston käytön helpottaminen” on juuri esimerkki harhaanjohtavasta höpöhöpöpuheesta, jota paljon harrastetaan. Tarkemmallakin tutkimisella on varsin epäselvää, minkä takia komission sivusto ylipäätään kyselee lupia – todennäköisesti juuri analytiikkatyökalun takia tai ihan vain varmuuden vuoksi.)

Tasa-arvoinen dialogi on komission sivustolla esimerkillinen ja tällaisen mallin yleistyminen on erittäin toivottavaa.

Luonnos ottaakin erittäin konkreettisesti kantaa vaihtoehtojen esittämisen periaatteisiin:

”Käyttäjää ei tule ohjailla tekemään valintoja esimerkiksi värivalinnoin tai siten, että kieltäytymistä ilmaiseva toimi on tehty vähemmän näkyväksi kuin suostumusta ilmaiseva toimi esimerkiksi sijoittamalla se eri sivulle suostumusmekanismissa tai esittämällä valinta pienemmällä kirjainkoolla. Suostumusmekanismin ulkoasussa tulee suosia mahdollisimman neutraaleja tyylillisiä asetteluja.”

Traficom voisi myös harkita konkreettisten mallien antamista lupien kyselemiseen. Kuten tässäkin blogissa on raportoitu, jopa julkishallinnon sisällä evästelupabannerien toteutustavat vaihtelevat todella paljon. Tämä taas vesittää kyselyiden toimivuutta, kun jokaisella sivustolla käyttäjä joutuu pähkäilemään erilaisen dialogin logiikkaa.

Erilaisia evästebannereita on myös jo ollut käytössä niin monta vuotta, että vakiintuneita malleja on ehtinyt syntyä.

Esimerkiksi Euroopan komissionkin käyttämä kaksijakoinen malli (hyväksy kaikki evästeet / hyväksy vain välttämättömät evästeet) on selvästi yleisin malli, joka täyttää uudenkin ohjeistuksen ehdot. Tosin ”selvästi yleisin” tarkoittaa tässä kohtaa kuitenkin hyvin pientä prosenttia. Käytänteitä on lähes yhtä paljon kuin sivustoja, jotka lupia kyselevät.

Konkreettisempi opastus olisi toivottavaa, vaikka ohjeistus ei olisi sitovaa.

Uusi ehdotus on kokonaisuutena erinomainen

Esitetystä kritiikistä huolimatta, on Traficomin luonnos valovuosia parempi kuin edellinen versio, ja veisi jo tuollaisenaan evästesekamelskaa merkittävästi parempaan suuntaan.

Erityisen merkittävä parannus olisi jo yksinään se, jos kaikkiin evästelupabannereihin saataisiin ”Vain välttämättömät evästeet” -valinta tasa-arvoisena valintana hyväksyntä-valinnoille. Tämä voisi yksinään jo pakottaa mediatalot ja verkkokaupat perustelemaan paremmin käyttäjille, miksi heidän kannattaisi valita mieluummin enemmän evästeitä.

Traficomin luonnoksen näkökulma tuntuu tosin olevan se, että kaikkien sivustojen pitää kysyä lupaa. Tässä blogissa taas on puhuttu paljon siitä, että esimerkiksi julkishallinnon ei pitäisi joutua kyselemään mitään lupia, jos keskittyy vain oman palvelun pyörittämiseen ja sen kehittämiseen. Ylätasoinen analytiikka sivuston kävijöistä on ainakin asia, jota nykyisin pidetään jo peruselintarvikkeena, joten mikäli siitäkin tulee täysin luvanvaraista, olisi se erittäin iso muutos alalle. Esimerkkinä käytetty Euroopan komission sivusto on varsin hyvä esimerkki tulevaisuudesta, jossa jopa komission sivustojen kaltaiset, ylimääräisistä evästeistä lähes täysin riisutut sivustot, kyselevät kaikilta käyttäjiltä lupia ihan vain varmuuden vuoksi.

Ja jos ihan kaikki sivustot kyselevät lupia, menettää koko asia merkityksensä käyttäjän kannalta. Jos taas vain osa sivustoista kyselee lupia, voi tavallinen käyttäjä jaksaa kiinnittää niihin silloin jopa huomiota. Tämä lienee se isoin näkemysero tämän blogin ja Traficomin ohjeistuksen luonnoksen välillä. Jos luonnoksen nykyinen, erittäin tiukka linja välttämättömiin evästeisiin toteutuu, tulevat suurinpiirtein kaikki sivustot tässä maassa tarvitsemaan lupalapun – ja seurauksena on käyttäjien täydellinen välinpitämättömyys näitä lappuja kohtaan.

>> Luonnoksen kommentointi mahdollista kenelle tahansa 9.8.2021 saakka

PS. Tilaa Vierityspalkin kerran kuukaudessa ilmestyvä uutiskirje, joka koostaa artikkelit, linkkivinkit, työpaikat ja julkaisut (uutiskirjeellä on jo yli 800 tilaajaa).

Lisää artikkeleita digitaalisesta markkinoinnista:

Jätä kommentti